摘 要:政府数据开放中处理个人信息的行为应随《个人信息保护法》调整,但政府数据开放与《个人信息保护法》的目标定位存在一定分歧。《个人信息保护法》中的知情同意规则无法充分证成政府数据开放中处理个人信息的行为具有合法性,进一步引入并充分解释合理使用规则,方能为该行为提供合法性基础。在知情同意、合理使用双重规则的调整之下,政府数据开放中处理个人信息的行为应当遵循“合法、正当、必要”等法治原则的指导;应将个人信息的性质、处理个人信息的目的及造成的影响“三要件”,设定为判断处理个人信息是否构成合理使用的具体标准;在适用方式上,则应根据不同类型、层级的公共利益对个人信息和数据进行分类、分级开放。
关键词:政府数据开放;个人信息;合法性基础;合理使用;公共利益
政府数据开放是行政机关向私人主体提供政府数据的行为,涉及处理公民个人信息的问题,存在侵犯公民隐私、人格、财产等权益的风险,需要对之予以严格规范。目前我国已有学者针对政府数据开放的范式、制度、框架等问题展开前期研究,但对“政府数据开放中处理个人信息行为的合法性基础”(即处理个人信息所依据的正当法律理由)这一本源问题之相关研究仍较为有限。根据《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第十三条的规定,“取得个人的同意”是合理使用个人信息的核心规则,但在政府数据开放处理个人信息的问题上,适用知情同意规则会导致耗费运行成本、减损数据资源价值等弊端,不符合政府数据开放充分利用数据释放潜能的基本目标,也有悖于中共中央、国务院印发的《关于构建数据基础制度更好发挥数据要素作用的意见》所倡导的“充分实现数据要素价值、促进全体人民共享数字经济发展红利”的核心要求。因此,单一运用知情同意作为政府数据开放中处理个人信息行为的合法性基础,存在失灵和不足的问题。为此,需要进一步引入并充分解释合理使用规则,才能有效解决上述问题,并为政府数据开放中处理个人信息的行为提供合法指导。基于此,本文首先论证了政府数据开放中处理个人信息行为的合法性基础,然后相对系统地讨论了政府数据开放中处理个人信息行为应当遵循的法治原则、合理使用个人信息的具体判准以及基于公共利益的影响对个人信息进行分类、分级开放的具体路径等问题。
一、政府数据开放中处理个人信息行为的合法性基础
作为一部规范处理个人信息行为的综合性立法,我国2021年颁布的《个人信息保护法》基本将一切处理个人信息的活动均纳入调整范围,政府数据开放中处理个人信息的行为也不例外。但政府数据开放与《个人信息保护法》的目标定位存在一定分歧,由此导致政府数据开放中处理个人信息行为的合法性基础存疑。
(一)政府数据开放与《个人信息保护法》的目标定位存在分歧
从法律效力和规范内容上看,我国《个人信息保护法》依据宪法制定,是个人信息保护领域的“基本法”,且采用对公主体与私主体进行统一调整的立法模式。因此,政府数据开放中处理公民个人信息的行为无疑应当遵循《个人信息保护法》的基本要求。但是,政府数据开放与《个人信息保护法》的目标定位客观上存在一定分歧。
具体而言,《个人信息保护法》的立法目标侧重于保障个人信息安全,整部法律全面详细地规定了处理个人信息的规则、信息主体的权利、信息处理者的义务以及相应的法律责任安排等,着力于严格规范处理个人信息的系列行为。政府数据开放则兴起于美国,其基本功能是以公开政府数据的方式来增加政府数据的透明度,提高政府服务水平,以提高政府公信力并修复民众对政府的信任缺失问题。而且,因为数据能够创造高经济效益,政府数据开放也逐步开始向创造经济价值等功利目标转换。在目标定位的指引下,最大限度地开放日益成为政府数据开放的基本理念。典型如,1966年美国颁布的《信息自由法》(Freedom of Information Act),提出了“以公开为原则、不公开为例外”的基本原则。我国对于政府数据开放也基本秉承“以开放为原则、以不开放为例外”“以需求为导向”等基本理念。显然,《个人信息保护法》的立法目标侧重于保障个人信息安全,政府数据开放的目标定位侧重于通过最大限度的数据开放以促进政治、经济、社会发展,两者在客观导向上存在一定分歧。
(二)政府数据开放中处理个人信息行为的合法性基础存疑
在保障个人信息安全的目标定位下,《个人信息保护法》规定了知情同意规则,以保障信息主体的自决权和个人信息安全。知情同意规则要求处理个人信息前需获得主体同意授权,但是知情同意规则存在实施困境,其中既有结构性问题,也有认知问题,更有内在悖论。有一种观点认为,“知情同意作为保障个人信息的基础性机制已经走向穷途末路”,同意不是处理个人信息的正当性基础。尤其在政府数据开放加大开放利用数据的目标定位以及“以公开为原则、以不公开为例外”的理念指导下,知情同意规则更是难以单独运用,主要原因在于:首先,政府数据开放是行政机关代表国家意志处理公民个人信息的行政活动,行政机关本身没有权力管理国家事务,只有在法律明确授权的情况下才能进行相应的行政活动。因此,信息主体的“同意”授权难以成为政府数据开放处理个人信息行为的合法性基础。其次,政府数据开放是行政机关为了促进社会经济发展,提高政务服务能力以及行政效率而进行的行政活动,一般具有“公共性”,如果将同意权、决定权等权利赋予个人,会影响公权力部门公共职能的行使。在政府数据开放中,适用知情同意不仅会因告知、同意的流程降低政府数据开放的效率,还会因无法获得信息处理权限,影响政府数据开放的效果。再次,政府数据开放是行政机关代表国家行使行政权力的行政活动,具有强权性特征。一般而言,行政机关相较于自然人而言处于优势地位,任何社会个体、组织都受到公权力的制约,在这种地位失衡的背景下,知情同意规则难以发挥实质效能。最后,在数据科技时代,个人信息逐渐被剥离于信息主体,通过数据技术可以在自然人毫不知情的情况下处理其个人信息,导致个人难以通过私权等制度工具对个人信息进行自我意志的控制。
综上,知情同意规则难以单独成为政府数据开放中处理个人信息行为的合法性基础。但须强调的是,这并不是要全盘否定知情同意规则成为政府数据开放中处理个人信息行为的合法依据之一。因为在特定情形下信息主体面对政府时,仍可真实表达自我意愿,此时的知情同意同样具有价值。典型如,欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)第四十三条规定,“数据控制者是公权机关,导致数据主体不大可能自由作出同意”,其中用的是“不大可能”(unlikely),而不是“不可能”(impossible),并且欧盟第二十九条工作组在《对第2016/679号条例下同意的解释指南》中列举了公权机关基于公民“同意”而处理其个人数据的实例。这表明,政府数据开放中处理个人信息时,适用知情同意规则仍有一定空间,只是需要进一步补强、发展知情同意规则,以构建政府数据开放中处理个人信息行为的充分合法基础,并实现政府数据开放与个人信息保护间的权益兼顾与利益平衡。
二、个人信息合理使用为政府数据开放处理个人信息行为提供合法性基础
如上文所言,在政府数据开放中处理个人信息的问题上,适用知情同意规则存在一定的障碍和疑问。在此基础上,结合《个人信息保护法》第十三条等相关规定,可在适用知情同意规则基础上,进一步结合适用合理使用规则,以作为政府数据开放中处理个人信息行为的合法性基础。合理使用规则允许基于履行法定义务、维护公共利益、维护当事人权益等多种特定目的,限制信息主体的信息自决权,允许在未经信息主体同意的情形下处理其个人信息。合理使用规则平衡了信息保护与信息利用的关系,具有正当性,但是由于其对信息主体造成客观权益限制,也具有一定的风险危害。我国现行相关立法在立法目的上多使用“促进数字经济发展”“提高政府治理能力”“激发市场活力”等概括性表述,未明确政府数据开放中处理个人信息行为的具体“合理目的”。凡此表明,在将合理使用规则作为政府数据开放中处理个人信息行为的法定合法基础时,同样需作进一步的解释、发展。
(一)保护与利用均衡论下的合理使用规则引入
在单独适用知情同意规则存在困难的情况下,《个人信息保护法》引入了合理使用规则,以此补强处理个人信息行为的合法性基础。合理使用起源于著作权领域,旨在协调不同主体之间的利益,促进科学文化事业发展,其主要思想为“均衡”。在数据信息时代,数据信息利用一方面为国家、社会、个人带来机遇与发展,另一方面,不合理的数据使用又会对主体造成隐私、人身、财产等多方面的侵害,数据信息的保护与利用成为剑拔弩张的一对矛盾,合理使用的均衡理念则因势利导成了缓解二者关系的利器。
在均衡思想之外,合理使用还体现了法律上的公平正义观念,系属一项“理性的公平正义原则”。而“法”本身即具有“平、直、正”的核心价值追求,合理使用规则完全契合了这种追求。其中,“平”表现为主体之间的利益平衡,政府数据开放中合理使用个人信息,基本目的正是为了平衡信息主体与社会公众之间的利益;“直”表现为合理使用符合真理与规律,个人信息合理使用是顺应时代发展的产物,是促进国家、社会经济发展的重要基石,是客观合理的规则;“正”表现为公益性,政府数据开放中合理使用个人信息是为了维护公共利益,实现公共价值。在权利本位的现代社会,公民的权利意识日益高涨,但是权利行使具有边界,公民在追求自由和权利的时候,不得损害国家的、社会的、集体的利益和其他公民合法的自由和权利。因此,公民个人信息权益的保障也要受到上述条件限制,甚至需要为积极促进上述利益实现而让渡自有利益,合理使用规则符合法律上的公平正义要求。
(二)政府数据开放中合理使用个人信息的基本类型
《个人信息保护法》第十三条规定了处理个人信息行为的合法性基础,其中第二至七项为合理使用的具体法定情形。其中,第二项“为订立、履行个人作为一方当事人的合同所必需”指平等民事主体之间签订民事合同,本质上仍属于当事人基于意思自治的“同意”,不适用于政府数据开放问题。第四、五项“为应对突发公共卫生事件”“为公共利益实施新闻报道”等情形,一般由法律明确授权具体机构行使相关职能,因此实质上属于第三项所规定的“为履行法定职责或者法定义务所必需”,而少数由非法律授权的机构行使上述职能的,其根本目的在于维护公共利益,故又可将其归纳为“维护公共利益”的情形。另外,由于在政府数据开放中不存在信息公开的问题,那么第六项“合理处理已经合法公开的个人信息”的规定,也不适用于政府数据开放问题。由此,政府数据开放中处理个人信息的法定“合理使用”情形,主要指向“履行法定职责”和“维护公共利益”两种类型。
其中,“履行法定职责”中“法定职责”的范围在学理上存在争议。有学者认为,这里的“法”应当限制为狭义上的法律;另有学者认为,该“法”应当包括不与上位法相抵触的一切规范性文件。在大多数现实情形中,公民与行政机关之间的地位并不对等,那么对于行政机关限制公民权益的行为就应严格控制,以此防止行政机关通过自我赋权扩张职权,不当损害公民权益。因此,行政机关依据“履行法定职责”合理使用个人信息中的“法”应遵循法律保留原则,即根据权利保护理论,为履行法定职责处理个人信息活动中对个人信息权益进行限制,需要有更高位阶的法律作为依据,故而要以行政机关限制的个人信息权益的法律规范位阶为基线来设定行政机关职责的法规范位阶。当前,处理个人信息所限制的是个人信息权益,这一权益由《中华人民共和国民法典》(以下简称《民法典》)和《个人信息保护法》等进行保护,那么限制这项权益的“法定职责”之规范依据,不得低于上述法律规范位阶。但我国现行政府数据开放的相关法律规范多由地方政府制定,其法律位阶低于《个人信息保护法》的法律位阶,那么在政府数据开放中就无法依据“履行法定职责”条款处理个人信息。因此,为了实现理论与现实的统一,应尽快出台统一的、等同或高于《个人信息保护法》法律位阶的政府数据开放法律依据,从而为政府数据开放中处理个人信息适用“履行法定职责”这一合法性基础提供支持。
个人信息合理使用的理论基础是民事权益限制论,即基于价值衡量为维护公共利益之目的而限制个人信息权益。政府数据开放的目的则在于通过加强数据流通利用,促进社会经济发展,属于“维护公共利益”之目的,这与个人信息合理使用的理论基础相吻合。此外,行政法中“行政”的本质是对公共利益的集合、维护和分配,行政法在本质上是以公共利益为本位的法,政府数据开放这一行政活动以“维护公共利益”为出发点,是契合行政法本质特征的。因此,政府数据开放中合理使用个人信息的核心法定情形应为“维护公共利益”。
政府数据开放中处理个人信息行为虽然可以依据“维护公共利益”之目的适用合理使用规则,但“公共利益”本质上属于典型的不确定法律概念,难以为政府数据开放处理个人信息行为提供具体指导,还有可能导致泛化适用、不当处理个人信息的客观风险。故在《个人信息保护法(专家建议稿)》中,曾有学者建议,政务信息公开个人信息,“不公开对公共利益无重大影响的,不得公开”。可见,对出于“维护公共利益”之目的合理使用个人信息,仍应秉持谨慎态度,对其具体适用路径尚需持续深入探讨。
三、政府数据开放中个人信息合理使用的适用路径
合理使用规则为政府数据开放中处理个人信息行为提供了合法性基础,但《个人信息保护法》第十三条对个人信息合理使用所作的规定,仍较为概括和宏观,在适用原则、适用标准、适用方式等方面,还需予以进一步的明晰和具体化。
(一)适用原则:进行“合法、正当、必要”审查
“合法、正当、必要”是处理个人信息的基本原则,在难以适用知情同意规则情形下,适用该原则可规范政府数据开放中的个人信息使用行为,消解可能对信息主体带来的风险。
“合法原则”指处理个人信息要遵守包括《民法典》《个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》等在内的相关法律规定,并应在行政法治框架内进行政府数据开放。合法原则具体指处理个人信息需具有合法性基础,并应履行法律规定的义务。诚如前文所言,“履行法定职责”“维护公共利益”等政府数据开放中合理使用个人信息的法定情形,严格遵循该规则才符合形式法治的基本要求。在具备合法性基础之上,进行政府数据开放活动还要履行《个人信息保护法》规定的保障信息安全、进行个人信息保护影响评估、合规审计等义务。同时,还应根据政府数据开放的具体立法规定,对不同类型的个人信息进行差异化开放。
“正当原则”也称“公正原则”,在政府数据开放中体现为处理个人信息应采取“公平”“正当”的方式。其中,“公平”具体包括两方面要求:处理公平与开放公平。政府数据开放处理个人信息的具体方式应依据个人信息的类型决定,不得考虑信息主体的身份、性别、财富等其他“不相关因素”。同样,政府数据也应平等地向公众开放。一般而言,政府数据开放的平台应平等面向社会公众,获取政府数据的条件、方式应具有公平性,不能无正当理由针对不同群体采取不同的开放方式。“正当”要求政府数据开放处理个人信息的目的与手段正当。首先,政府数据开放中处理个人信息所追求的应当是对国家、社会以及公民有利的利益。其次,处理个人信息不能采用误导、欺诈、胁迫等不正当手段,涉及公民隐私的私密信息、具有“高敏感性”的敏感个人信息,如果不适宜开放或应有条件开放的,行政机关不得采取不正当方式迫使信息主体同意,或隐瞒处理其个人信息。
“必要原则”在此处可视为比例原则的同一要求,具体包括适当性、必要性与均衡性三层内涵。其中,适当性要求手段与目的之间具有关联,即处理个人信息应是实现政府数据开放目标的正确方式。必要性要求当具有多种实现特定目标的方式时,应选择对相对人最小损害的方式。相较于适用知情同意规则,处理个人信息适用合理使用规则会对信息主体造成更多不利影响,故在同样可以实现政府数据开放目标情形下,应优先适用知情同意规则。均衡性要求处理个人信息所带来的利益应当优于该行为所造成的损害,否则不能干预个人自由及其私法自治。因此,在政府数据开放中,经常需要通过利益衡量方能确定是否能够处理公民个人信息。
(二)适用标准:以合理使用“三要件”作为分析思路
“合理性”是合理使用规则的根本要义,是否满足“合理性”的判断方法,则主要有“三步检验法”和“四因素说”两种理论。其中,“三步检验法”强调合理与否的判定,主要可从是否为法定特殊情形、是否影响权利人的正常使用、是否不合理损害权利人的合法权利三方面进行。“四因素说”则指是否构成合理使用,需考虑四个方面的因素:使用行为的目的与性质、被使用作品的性质、被使用的部分与整部作品的比例关系、使用行为对被使用作品潜在市场的影响。上述“合理性”的判断标准,原本主要适用于著作权法领域,但经过移植发展,在个人信息保护领域同样具有适用空间,并为实践所采纳。例如,在“凌某某诉北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷案”中,法院从信息的特征属性、信息使用的方式和目的、对各方利益可能产生的影响三个方面,对被告处理原告个人信息的行为是否具有“合理性”进行了分析和判定,法院的司法裁判思路和论证逻辑实际上就是对“三步检验法”和“四因素说”的具体践行。
参照合理使用规则的“三步检验法”和“四因素说”理论,结合政府数据开放中处理个人信息的具体特点,可以将政府数据开放中合理使用个人信息的判准归纳为“三个要件”:个人信息的性质、处理个人信息的目的、处理个人信息造成的影响。
1.个人信息的性质
个人信息是通过各种方式记录,能够识别自然人的信息。根据隐私程度不同,可以将个人信息分为一般个人信息和私密信息;根据可能会对自然人造成的危害性不同,可以将个人信息分为一般个人信息和敏感个人信息。其中,私密信息和敏感个人信息与自然人的隐私、人格、财产等关系密切,需要强化保护,故政府数据开放中处理个人信息应针对不同性质的个人信息采取差异化的开放方式。
我国《民法典》第一千零三十四条将个人信息分为一般个人信息与私密信息,其中的私密信息“适用有关隐私权的规定”。《民法典》第一千零三十二、一千零三十三条规定,任何人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权;除法律另有规定或者权利人明确同意外,不得处理他人的私密信息。据此,处理他人私密信息的合法性基础只有“法律另有规定”和“权利人明确同意”两种情形,不存在合理使用个人信息的其他情形,且这里“法律规定”中的“法律”应是狭义上的法律,行政法规等并不在其列,因此,现行政府数据开放地方性法规无法成为处理自然人私密信息的合法依据。
我国《个人信息保护法》将个人信息分为一般个人信息与敏感个人信息,规定了处理敏感个人信息的限制性条件:“特定目的”“充分必要”“严格保护”。据此,在处理敏感个人信息时,应当严格遵循上述限制性条件。首先,“特定目的”应为明确的法律规定或合同约定,限于实现商品的或服务的特定功能,如:为了股票交易处理金融账户信息、为了疫情防控处理特定的医疗健康信息。概括性的为了“促进经济发展”“维护公共利益”等目的,不能直接认定为属于“特定目的”,还需要更加充分具体的补强论证。其次,“充分必要”是对必要原则的强化,这种充分必要性无法克减。一般而言,必要原则适用于减损公民利益的情形,如果处理一般个人信息是增进公民利益,那么不适用必要原则,但是在处理敏感个人信息中,无论减损或增进公民利益,都必需适用必要原则。再次,对是否进行了“严格保护”的判断,除了要遵循《个人信息保护法》的相关规定外,还应结合均衡原则进行分析,即对实施个人信息安全保障的成本与保障个人信息安全所获收益进行衡量,如果所获收益大于投入成本,那么保障个人信息安全就是必要的,信息处理者就有义务采取措施保障个人信息安全。
2.处理个人信息的目的
“维护公共利益”是政府数据开放中合理使用个人信息的核心目的。“公共利益”是指公众共同享有的,而不是个别人或者个别人群享有的利益,其基本要素包括公共性、重要性、现实性和程序正当性。公共利益中的“公共”指向的是所有人中不特定的多数人或全体社会成员,而不是个人、社会团体、社会组织,或者是少数人组成的群体,因此政府数据开放不能仅面向个别人或个别群体。但对于一些特殊数据的开放,对获取数据的主体进行限制并不违反公平原则。如《浙江省公共数据条例》第三十三条规定:“自然人、法人或者非法人组织需要获取受限开放的公共数据的,应当具备相应的数据存储、处理和安全保护能力,并符合申请时信用档案中无因违反本条例规定记入的不良信息等要求。”虽然这一规定看似对获取数据的主体进行了限制,但是任何主体都有可能满足上述规定的要求,实际上面向的还是不特定的主体,没有违背公共利益的“公共性”要求。
政府数据开放的目标具有多元性,不同的目标所追求的利益不同,但无论是出于维护国家主权、公共安全,还是为了促进经济发展、社会进步,政府数据开放所追求的利益都应该优于对数据主体造成的利益损害。一般来说,对于利益位阶的判断可以根据法律位阶、法律规定、个案衡量来予以明确。宪法是国家的根本法,其他一切法律法规都不得与宪法的规定相违背,因此宪法规定的基本权利位阶优于其他法律法规规定的权利位阶。另外,如果法律法规已经明确规定了某些利益的优先保护地位,那么应该按照规定的顺序进行保护,如《民法典》物权编中规定的“物权优于债权”。而对于无法通过法律位阶以及法律明文规定判断的权益位阶次序,可以根据实践调和原则进行个案衡量。
在现实性方面,政府数据开放所维护的公共利益应该是可以实现或实现的概率较大,并且与公众关系密切、具有实质性内容的直接利益。虽然一些间接、抽象的利益也具有一定公益性,但是间接、短期难以实现的利益会导致公众对公共利益认知的冷漠。如在政府数据开放中,有些数据开放的目的在于促进企业发展,虽然从长期看这一目的也会促进社会经济发展,为公民提供就业机会,具有一定的公益性,但是这种公共利益对于公民而言属于间接利益,难以让公民切身感受到,因此不能随意为追求这类利益而限制公民权益。
“正当程序”是行政法上一项重要的基本原则,要求行政权力运行必须符合最低限度的公正标准,包括避免偏私、公平听证、公众参与和行政公开等要求。政府数据开放的类型不是某个政府部门或个人可以决定的,需要通过各种形式广泛征求、听取公众的意见,禁止“自己做自己案件的法官”,以不偏不倚的态度在吸取公众的建议后决定政府数据开放的类型。在决定处理自然人个人信息后应及时向关系密切的当事人告知数据开放的情况并说明理由,详细解答当事人提出的相关问题。此外,还需要依法将政府数据开放的依据、过程、结果向当事人和社会公众公开,保障公众的参与权与监督权。
3.处理个人信息造成的影响
在著作权领域,“对有著作权作品的潜在市场或价值所产生的影响”,是对合理使用“合理性”的一项判断标准,其中包括“使用者是否得到实质性利益”和“权利主体遭到不利的影响”。
一方面,“使用者是否得到实质性利益”指合理使用的主体是否获得物质性利益。合理使用是一种无偿使用,主要目的是为了促进国家、社会的发展,为使用者提供便利,这主要是一种非物质性利益,使用者不能从中获得实质性利益。无论是《中华人民共和国著作权法》还是《个人信息保护法》,对合理使用的规定都不包括物质性利益的取得,因此政府数据开放中合理使用个人信息不应取得实质性利益,否则不构成合理使用。需注意的是,虽然政府数据开放具有创造经济价值的目标,但是只要政府并未从中直接或间接获取相关利益,就不属于获得实质性利益。
另一方面,“权利主体遭到不利的影响”的基本认定条件,包括真实存在的损害和达到一定程度的损害。个人信息与信息主体密切相关,不当处理个人信息会对主体造成人格权、财产权等多种权益侵害,对于不同权益的损害认定应采取差异化的方式。对于财产权等可以量化的权益侵害,只要直接或间接造成主体损失,无论损失数额多少,即为真实的损害。因为未经信息主体同意处理其个人信息本就克减了主体的权益,为主体带来潜在风险,那么进一步造成主体财产权益损害就无需受限于达到一定程度的要求。而对于人格权等难以量化的损害,不仅要求损害真实存在,还需要满足损害达到足以令信息主体明显感知的程度,即对人格权的保护并非从零为基准开始。例如公开网络用户的网络IP属地,虽然在一定程度上会侵害用户的隐私,但是这种程度的侵害一般而言不会对用户造成真实不利影响,因此这种情形一般不属于“权利主体遭到不利的影响”。
(三)适用方式:基于公共利益的影响进行分类分级开放
在政府数据开放中,作为合理使用个人信息的法定情形,“维护公共利益”存在限度不明的问题。并非一切“维护公共利益”之目的都能成为限制个人信息权益的合法性基础,这种不需要授权的情况应当由法律明确规定和列举,这样不仅可以保护个人信息,还可以为数据产业的发展提供明确的行为标准和发展预期。
1.政府数据开放中的“公共利益”分类
关于公共利益的类型化划分,学术界有以性质、功能、目的、形式、内容为标准的多种建议。不同的划分标准各有优劣,应当依据其特征适用于不同领域。相对而言,依据性质为划分标准,虽然涉及的范围全面,但是规定较为抽象,不利于政府数据开放的具体行为落实;以目的为划分标准,虽然有利于区分公共利益概念的法律意义和日常意义,但其划分的类型较为宏观,对政府数据开放而言不具有现实意义。政府数据开放属于一种具体的行政活动,对公共利益的规定应该尽可能具体明确,这样有利于指导行政行为,并防止权力滥用。相较而言,以内容为划分标准,在一定程度上既能明确公共利益的具体范围,也能满足政府数据开放的现实需求。那么,“公共利益”的具体内容又包括哪些类型呢?在比较法上,欧盟《1995年个人数据保护指南》规定了6种属于公共利益的情形,具体包括:国家安全;防御;公共安全;对刑事犯罪或违反职业道德的防范、调查、侦查;重要的经济或金融利益,包括货币、预算和税务事宜;官方机构行使有关的监督、检查和管理职能。匈牙利《个人数据保护与公共利益数据公开法》规定的公共利益包括:国防;国家安全;刑事侦查与预防犯罪;国家货币和流通政策;国际关系与国际组织的关系;司法程序。在我国,《个人信息保护法》并未对公共利益作出明确界定,需要结合其他已有立法规定进行综合归纳。对此,笔者以“公共利益”为关键词对我国现行法律进行了检索,初步检索到有148部现行有效的法律对“公共利益”进行了规定和涉及,在此基础上筛选出8条相对明确规定了公共利益具体内容的法律条文,具体如表1所示。
综合比较法上的经验及我国既有立法实践,可以看出,公共利益的具体内涵在不同的国家及地区存在差异。但相对而言,国家主权、公共安全、经济与社会发展等是各国普遍认同的具体公共利益。
基于此,笔者建议,在结合具体公共利益的普遍内涵与政府数据开放的具体特性基础上,以内容为标准可以将政府数据开放中的公共利益划分为四种类型:(1)国家核心利益,即与国家主权、外交、军事等相关的利益;(2)社会安全利益,即与社会秩序、公共安全、公共卫生等相关的利益;(3)社会经济发展利益,即促进科教文卫事业发展、促进经济发展的利益;(4)一般社会利益,即为公民日常生活提供便利服务的利益。
2.政府数据开放中的“公共利益”分级
我国现行政府数据开放立法采行差异化的开放模式,对私密信息、敏感个人信息和一般个人信息的开放条件、限度予以差异化规定,实现了“因类开放”、有序开放,具有一定合理性。但因为对“维护公共利益”这一合法性基础的具体适用方式尚未明确,容易导致“维护公共利益”之目的不当扩张。因此,通过对政府数据开放中的公共利益进行分级,并对涉及实现不同级别公共利益目的的个人信息采取不同的开放模式,可以补强政府数据开放中处理个人信息行为的合法性基础。此外,这种开放模式对处理个人信息设置不同的处理限制、程序、方式,能够分流行政机关进行政府数据开放工作的内容,有利于提高政府数据开放的效率。据此,在前文对政府数据开放领域的公共利益进行分类的基础上,还可根据不同类型公共利益的重要程度不同,将其依次划分为核心公共利益、重大公共利益与一般公共利益三个级别,并分别对应设置三种不同的数据开放模式和程序:对核心公共利益,可采取优先开放模式;对重大公共利益,可采取限制开放模式;对一般公共利益,可采取知情同意开放模式。
在政府数据开放的目标定位中,为维护国家核心利益、社会安全利益(属于核心公共利益),应坚持优先开放原则,此时处理个人信息无须事先获得信息主体的同意。因为“国家利益”是满足民族、国家、全体人民物质与精神需要的利益,是全体人民共同的利益,坚持“国家利益至上”具有正当性。而“社会安全利益”是与人民密切相关的重大安全利益,是维护社会秩序稳定、保障人民生活长治久安的重要内容(也属于核心公共利益)。不过,虽然维护核心公共利益优于保护信息主体的私人利益,但行政权力的行使同样应严格遵循目的限制原则。因为奉行无限制的公共利益优先原则,会导致国家权力膨胀,危害公民的自由、人身、财产。政府数据开放中处理个人信息应当采取对信息主体造成最小损害的方式进行,当所追求的开放目标实现后,应及时消除对信息主体带来的不利影响。
促进社会经济发展是在保障国家核心利益、社会安全利益基础之上的第二层次“重大公共利益”,对此可通过采取限制开放的模式,即设置一定的开放条件,对于满足条件的申请主体对其依申请开放。在数据信息时代,数据已成为一种重要的资源,能够促进经济增长与知识创新,我国《上海市公共数据开放暂行办法》《浙江省公共数据条例》《贵州省政府数据共享开放条例》等众多地方政府规章,均明确将“促进经济社会发展”列为政府数据开放的目标。但社会经济的发展不能以牺牲公民的权益为代价,需通过严格控制政府数据开放的条件和程序,以实现社会经济发展与公民权益保障之平衡。具体而言,一方面,需建立申请许可机制,即政府数据依申请开放,需要对申请主体的数据存储、处理、安全保护能力进行审查,只有具备一定的资质条件才能获取相关数据。另一方面,对申请目的的合法、正当、必要性进行审查,严格遵守《个人信息保护法》的基本原则之规定,符合条件的方可允许开放。对此,我国已有地方政府予以制度践行。
为公民日常生活提供便利化服务的利益属于一般公共利益,应该严格遵循“知情同意”之规定,即在获得信息主体同意的情况下才可予以开放。政府数据开放的目标之一是提升政府服务水平,其中包括为公民提供与民生保障服务相关领域的政府数据。为公民提供上述政府数据有利于降低公民获取政府信息的成本,帮助公民在生活中做出更好的决策,增加社会活跃度,提升公民生活质量。但是这类利益不属于公民的基本生存利益,而是一种提升公民生活质量的“高级需求利益”。心理学上著名的“马斯洛的需求层次理论”揭示了人类的需求类型,不同需求类型优先级别不同,其中“低级需求”直接关系个体生存,当无法满足这种需求时会直接危及生命,而“高级需求”不是维持个体生存所绝对必需的,但是会提升人类的幸福感。同样,政府数据开放的目标也有实现“低级需求利益”和“高级需求利益”之分,“低级需求利益”事关国家和公民的生存发展,应当尽可能地保障,而“高级需求利益”应在保障信息主体权益与信息安全的前提下,有序实现。此外,从我国《民法典》所规定的民事权益体系角度看,民事权益的位阶次序是:物质性人格权、精神性人格权、身份权、人格利益、财产权利、财产利益。个人信息包含与自然人相关的隐私、人格、财产等权益,在民事权益中属于高位阶权益,应当加强保障。因此,为公民日常生活提供便利化服务的政府数据开放,一般不宜直接认定属于合理使用,即应当严格遵守知情同意规定,在未经信息主体明确同意的情况下一般不允许开放其个人信息。
四、结束语
大数据时代,开放、利用数据信息是不可逆转的时代潮流。当前,我国各级政府均在如火如荼开展较大规模的政府数据开放活动,这对促进社会经济发展、提高政府行政效率、提升公民生活水平等均大有裨益。但现代法治原则之下,政府数据开放过程中的个人信息使用应恪守实然法所明文规定的范围和条件,并严格遵循正当的开放和使用程序。基于权利竞合与冲突等客观原因,政府数据开放与公民个人信息保护间存在一定张力和目标分歧,仅仅通过适用知情同意规则尚无法充分证成政府数据开放中处理个人信息的行为具有合法性。在此前提下,进一步引入并充分解释合理使用规则,显得尤为重要和必要。在合理使用规则的调整之下,政府数据开放应当遵循“合法、正当、必要”等法治原则指导,并应通过权衡考量个人信息性质、处理个人信息目的及客观影响等要素,判断政府对个人信息的开放和使用是否属于法定的合理范围。同时,当基于公共利益需要而开放使用个人信息时,还应基于不同类型、层级的公共利益,对个人信息数据设置分类、分级开放的具体操作模式。总体而言,在既有实然法的明文规定基础之上,充分考量信息数据所涉的公共利益与私权保障问题,并在两者间保持适度均衡,是政府数据开放过程中合理使用个人信息的基本前提和核心要求。
